Maintenant que l’industrie semble décidée, de manière plus ou moins unanime, à bannir les mots de passe au profit de solutions plus simples et jugées plus sécurisées, les gestionnaires vont devoir s’adapter.
Dans sa feuille de route récemment mise à jour, BitWarden annonce l’arrivée prochaine de la prise en charge des connexions sans mots de passe, au sein desquelles le gestionnaire servira de validateur. C’était déjà le cas, comme l’avait noté MacG, de 1Password à la mi-juin.
Parmi les évolutions importantes, on citera la volonté de l’éditeur de sortir du seul cadre du navigateur pour prendre en charge les applications tierces de bureau. Un ajout qui serait clairement le bienvenu, car il éviterait les allers-retours dans le navigateur pour y chercher les identifiants.
Autre changement prévu, la possibilité – enfin ! – de pouvoir modifier les données en étant hors connexion. Car oui, l’application mobile exige de pouvoir communiquer avec Internet pour modifier une fiche ou en créer une nouvelle.
Commentaires (43)
#1
Concrètement une authentification passwordless se présenterait comment ? Certificat ? Biométrique ? Une appli qui valide ? A part cela, je ne vois pas trop
#1.1
Tout est décrit dans le premier lien de la news.
#1.2
Oui, effectivement, donc on passe par un smartphone quoi, avec auth biométrique, pas sur que ce soit mieux qu’un password, surtout en cas de perte / panne du smarphone en question ^^
#1.4
+1
J’en ai un peu marre de cette concentration de tout sur “smart”phone.
Bientôt, sans smartphone tu seras plus un citoyen…
#1.5
Ce n’est pas déjà le cas ?
#1.6
J’ai pas encore cette impression.
#1.7
C’est la possibilité la plus directe au regard du nombre de smartphones en circulation.
Maintenant, il reste d’autres possibilités type yubikey etc.
#1.3
Radius avec du 802.1X par exemple.
#2
Il y a deux type d’authentification sans mot de passe:
1/ tu mets ton Login, le site envoi un challenge à une clé de sécurité (yubikey par exemple) que tu accepte en touchant physiquement la clé de sécurité
2/ tu demandes à un site à t’identifier via clé de sécurité (donc pas de login), ta clé de sécurité te demande le code pin pour la débloquer (une demande à chaque alimentation électrique) et tu dois toucher physiquement la clé pour valider l’authentification.
Dans le cas présent, j’imagine que bitwarden remplace à la clé de sécurité, un peu comme Windows hello (pas sure de ce que je dis la, ne l’utilisant pas)
#2.1
Ok, ce dont tu parles, je m’en sert, mais pour le two factor, pas pour une simple authentification.
#3
T’as raison, je racontes de la merde pas clair du tout (écris à l’arrache pendant le petit dej)
Donc:
1/ Tu met le login, le password, puis challenge => 2FA classique
2/ Tu mets le login, puis challenge (nécessitant le déblocage de l’équipement qui va résoudre le challenge) => passwordless
3/ Le challenge inclu un identifiant (donc pas de login ni password) => webauthn
note: J’ai mis webauthn, mais c’est un peu plus compliqué que ca, ca permet aussi de faire du 1/ et du 2/
#4
Hmm et pour les cinématiques d’authentification à deux facteurs qui font aujourd’hui appel à deux mots de passe ou code PIN, elles vont passer aussi complètement à 0 secret à retenir par l’utilisateur ?
Exemple : pour ouvrir un tunnel VPN, je suis soumis à une authentification à deux facteurs qui fait appel à :
J’ai donc deux secrets à connaître (en plus d’être en possession d’un appareil physique)
Ce cas d’usage est-il prévu pour passer à du “passwordless” ?
#5
OK dans le premier lien cité dans l’article il est dit “Le téléphone devient la clé, plutôt qu’un simple deuxième facteur générant un code à six chiffres pour compléter un mot de passe.”.
Hmm pas sûr que faire d’un smartphone (surtout si celui-ci n’est pas complètement maitrisé par l’organisation) l’unique clé du royaume soit la meilleure chose, surtout pour donner l’accès au VPN d’une organisation qui est l’un des accès les plus critiques…
#6
Plus simple pour l’industrie, sûrement, ça va leur permettre de vendre encore plus de “devices”
Plus sécurisé, ça reste à voir car totalement dépendant de la sécurité du smartphone. Autant dire que sur android, c’est la passoire vu comment sont gérées les mises à jour.
Mais bon, comme de nombreuses personnes utilisent le navigateur web sur le device utilisé pour le 2FA, c’est à peine pire.
#7
sans parler des moment ou tu es hors réseau mobile/wifi ca va être d’un drôle
#8
Ce que j’en pense, donc à prendre comme un commentaire NXI, pas pour la vérité absolu:
Il existe 3 facters possibles:
Le passwordless, c’est une façon de faire du 2FA (que je préfère appeler MFA), mais ça reste du 2FA/MFA.
Au lieu d’avoir un classique:
L’idée du passwordless, c’est d’avoir (par exemple):
ou (autre exemple)
Au final, on a toujours un facter qu’on possède et un facter qu’on connait ou biométrique. L’avantage du passwordless, c’est qu’il n’y a , au pire, qu’un code PIN a connaitre pour s’authentifier partout, voire aucun dans le cas d’un facter biométrique. Et surtout, pas besoin de changer de mot de passe tous les x jours et d’en avoir un différent pour chaque utilisation.
A noter qu’une existe une 3ème méthode, utilisable grace à FIDO2/webauthn, qui permet d’inclure l’identifiant dans le facter qu’on possède. Ce qui techniquement est super pratique car plus besoin d’entrer quoi que ce soit pour se connecter. Il suffit d’aller sur un site, cliquer sur “se connecter” et d’appuyer sur sa yubikey + code PIN éventuel à la première utilisation pour être connecter.
Dans le cas de ton VPN, actuellement tu as:
Pour moi, la politique de sécurité de ton VPN est inutilement trop haute, ce qui fait que les utilisateurs vont commencer à la contourner car “trop casse-couille” en automatisant, ou semi automatisant l’OTP via une appli sur le PC par exemple.
Explication: Techniquement: Je ne crois pas que facter 1 et facter 3 soient considérés comme deux facters différents, sous la torture, tu donneras les deux. Donc il faudrait virer le facter 3.
Concernant les facter 2, 3 et 4, à partir du moment où le téléphone s’est fait trouer, les trois facters sautent en même temps, donc inutile. Encore une fois, il faudrait virer le facter 3. Le facter 4 servant aussi au reste du smartphone, et n’était pas une contrainte, ca ne coute rien de le laisser.
Ensuite sur l’évolution de l’authentification de ton VPN, ca dépend de la volonté de l’éditeur de la solution et du service IT qui le gère…
#8.1
La biométrie n’est pas un facteur d’authentification mais d’identification
Pas évident à reset si tes empreintes circulent sur le net…
#8.2
Merci de la précision
#8.3
Tu n’as jamais vu de film, ou les méchants tuent quelqu’un pour utiliser l’iris de son oeil ?
#8.4
Déjà moi j’arrive à me perdre entre FIDO, U2F, FIDO2, Webauthn….
Alors qu’en sera-t-il pour M. et Mme Michu ?
Comment leur expliquer que leur clef de connexion passe à certains endroits et pas d’autres, avec tous ces protocoles il doit bien y avoir des incompatibilités…
J’ai trouvé ce site qui recense quel site supporte quoi : https://hideez.com/pages/supported-services
… Sauf qu’il faut pas le taper avant (cc. la Tour Montparnasse Infernale
)
#8.5
Et donc ? C’est sensé me prouver le contraire de ce que j’ai dit ?
#9
“car il éviterait les allers-retours dans le navigateur pour y chercher les identifiants.”
… heu.. y a une appli desktop pc de bitwarden, qui permet de tout gérer sans passer par un navigateur.
idem sur mobile avec remplissage auto des sites web et des applis
#10
j’ai déjà une idée du résultat, avec la “nouvelle” carte du magasin où je travaille.
Smartphone obligatoire
Compte email obligatoire (pour créer son compte lié à la carte numérique)
Internet obligatoire en magasin et chez soi (sinon pas accès à l’appliquation et donc promo)
Bah une partie de la clientèle habituelle a refusé la nouvelle carte et perd leurs avantages, parce qu’ils ont pas de smartphone (aussi bien jeune qu’âgée), qu’ils ont pas de place pour ajouté encore une appliquation qui sera utilisé 1x semaine pour valider peut être les promos, parce qu’ils ont pas envi d’avoir leur email et infos fuiter encore plus, pas d’internet dispo en magasin (obligé de cramer leur data)
Et le plus drôle, on a déjà recu un mail demandant à changer notre mot de passe par l’enseigne, parce qu’ils avaient eu un soucis de base de donnée (courrier qui faisait plus pensé à du fishing, que réelle info)
#11
Tout cela… si c’est nécessaire ! ou aucun si ca ne l’est pas.
Le principe c’est:
Pour le point 2, le validateur va recourir à tout un tas de méthodes heuristiques et de moyens de confirmation. C’est pour cela que parfois tu te reconnectes directement à un site (genre microsoft.com) et parfois tu dois confirmer ton identité par password, ou par 2FA, etc.
#12
Pour les mots de passe différents, il y a des gestionnaires qui gèrent ça très bien et donc une seule chose à connaître.
Le 4 (biométrique) aussi du coup… (encore pire, on peut te le prendre sans que tu le saches).
#13
Je sais bien, mais face à du passwordless, c’est “compliqué”.
Ce sont bien 2 facter différents. Le biométrique sera volé via tes empreintes laisser sur un objet par exemple, alors que le mot de passe sera volé via un keylogger. Il n’y a pas 1 méthode unique qui permet de récupérer les deux.
Mon exemple avec la torture était mauvais, car 1/ sous la torture, on obtient tout. et 2/ l’objectif d’un voleur est que la cible ne le sache pas.
#13.1
C’est clair. Je suis pas The_Flow en terme de compétences et connaissances, mais j’suis pas monsieur Michu.
Et pourtant votre discussion depuis le début, bah je me rend compte que je suis pas loin d’un monsieur Michu sur le sujet
C’est dans ces moments que j’adore les commentaires de ce site.
Merci pour toutes tes explications. J’ai pas tout compris mais ça me donne des devoirs à faire du coup
#14
A lire en mode pavé, c’est sure que c’est pas super digeste, mais en vérité, il n’y a rien de vraiment compliqué. Ce qu’il faut savoir sur la théorie, c’est que le principe du MFA (multi facter authentication), c’est d’avoir au moins 2 des facters suivant parmis les 3 suivants:
Après, comment ca se concrétise dans la réalité, le plus simple, c’est login/password (f1) + OTP (f2) (type google authenticator). Mais certain organisme essaye d’améliorer ca… avec entre autre le passwordless, qui consiste à avoir un login + une clé de sécurité (f1) protégé par un code PIN (f2) => on a bien une protection MFA sans mot de passe. Ce qui simplifie grandement la vie quand même.
#14.1
Non non, pavé ou pas, c’est moi qui doit manquer de connaissance et de jugeote
Je comprend mais sans avoir l’impression de vraiment comprendre. Dans le sens où je ne peux pas expliquer clairement et précisément derrière.
Merci d’avoir rendu ça encore plus clair en tout cas, mais j’vais devoir fouiller pour ne pas me sentir paumé. Beaucoup de mot clé ont été cité dans différents messages. Du coup je pars d’un peu loin
#14.2
Autant ne pas mettre de protection, si on veux faire simple…
Ok, merci pour la précision.
Mais du coup, le code PIN est différent aussi ou il peux aussi être volé par un keylogger en même temps que le mot de passe ?
Oui, en effet
Pour moi, le troisième n’est pas un facteur d’authentification.
Au mieux ça peut remplacer un login (identification), pas plus.
#14.3
Juste une petite correction comme vous utilisez un grand nombre de fois ce mot : on écrit facteur et non facter (mais en anglais, factor).
#15
Salut,
Je voulais juste te corriger sur sensé. J’ai encore ce bug et j’ai du mal à le capter des fois, du coup je préfère t’en faire part.
Dans ton cas c’est censé. Car tu peux remplacer par supposer dans la phrase.
Source
Ça m’a fait réviser au passage de chercher, c’est pas du troll ou autre.
J’espère juste ne pas avoir fait de faute dans ce message
#16
Il y a une forte confusion (savammnt entretenue) un peu partout sur ce qu’est une authentification biométrique. De fait les empreintes peuvent être clonées, donc … ce ne sont pas les empreintes elles-mêmes qui servent d’authentification.
Quand on utilise une clé yubikey par exemple, la clé d’authentification n’est pas l’empreinte elle-même, mais une clé cryptographique standard (secret partagé ou paire publique/privée, peu importe - enfin si ça importe mais pas au niveau biométrique). Le fait est que la yubikey n’accepte de fournir la clé cryptographique QUE si elle détecte la bonne empreinte. Mais l’empreinte elle-même ne quitte pas le dongle, même pas sous forme de hash.
Donc un voleur qui duplique physiquement tes empreintes n’est encore nulle part, car il n’a aucun moyen de retrouver la clé privée qui est stockée dans la yubikey - à moins de voler le dongle aussi, évidemment - mais ça empèche déjà un hacker sino-nigérian opérant depuis le Détroit de Magellan de subrepticement te délester de ton compte en banque.
De même, si tu perds ta yubikey, il ne “suffit” pas d’en racheter une autre et de mettre ton doigt sur le lecteur, il faut regénérer une nouvelle clé cryptographique, la protéger par ton empreinte, et l’associer à ton compte.
En gros : la sécurité de la yubikey réside dans le fait que tu lui fais confiance pour ne fournir la clé qu’elle stocke que si elle reconnaît tes empreintes.
#17
Oui, mais donc la biométrie n’a rien à faire en soit dans l’authentification.
C’est de l’identification qui peut servir de secret parce que ça reste difficile à reproduire sur les capteurs d’empreinte. C’est pas très différent dans le fond que de demander la date de naissance d’une personne (c’est le cas dans mon magasin pour faire des requêtes physiquement en caisse d’info) en pensant que les autres usagers ne le connaissent pas.
Si on définit les authentifications par la méthode de protection et si on a un dongle qui contient une clé privée mais qui n’est pas elle-même protégée par une autre niveau de protection (en gros, tu dois protéger physiquement l’accès à ton dongle, c’est limite je suis d’accord mais c’est pour l’exercice de pensée). Ca devient de l’authentification “nulle” du coup ?
Au final, il n’y a pas d’authentification biométrique. C’est un abus de langage mais ça permet de faire du marketing, donc on dit que l’authentification est biométrique.
Merci pour la précision. Pour moi, il n’existait que la forme “sensé”, ça m’a jamais traversé l’esprit d’aller vérifier ça et ça doit pas me frapper quand je tombe sur une phrase bien tournée faut croire :P
J’ai appris un nouveau verbe
#17.1
Oui, c’est exactement ce que je tente de dire, mais je n’ai peut-être pas été parfaitement clair : on parle d’authentification biométrique, mais l’authentificaton est purement cryptographique (donc en soi une clé au hasard qui sert de mot de passe…), l’empreinte digitale n’étant qu’un raccourci pour obtenir la clé cryptographique en question.
#17.2
J’avais les deux mais je savais jamais quand les placer. Je m’étais fais “embrouiller” ici sur ce petit problème d’orthographe, avec un joli hashtag désobligeant. Genre #achèteundico ou un truc dans le genre, je l’avais pas très bien pris
Du coup, j’suis content d’avoir trouvé les bons mots et que tu l’aies bien pris
#18
Il y a bien authentification biométrique : entre l’utilisateur et la clé.
Il y ensuite une authentification cryptographique entre la clé et le service.
Du point de vue service, un seul facteur a été utilisé mais du point de vue utilisateur il y en a bien eu 2 (possession de la clé + authentification biométrique).
Les clé les plus basique, genre feue la plug-up, demande une action physique qui remplace l’authentification biométrique : re-branchement de la clé ou appui sur un bouton. Ce n’est pas de la biométrie mais c’est parfois interprété comme le facteur « je suis » (une entité physique), la clé restant le facteur « je possède ».
Edit : l’identification biométrique et l’authentification existent bien toutes les 2, la différence étant que dans le cas de l’identification, on ne connait pas encore l’identifiant (le login) et dans le cas de l’authentification on vérifie que c’est bien la biométrie qu’on attend (si ce n’est pas cette personne mais qu’elle est dans le système global quand même, on n’en saura rien).
#18.1
Fin soit, je ne vais pas tenter de remettre en cause le fait que “authentification biométrique” soit accepté comme un terme valide. Je m’y plierai.
Reste que ton iris, tes empreintes ou ta voix, ce ne sont pas des éléments secrets dont tu serais le seul à détenir. Et à partir du moment où ils ont été compromis, tu ne sais même pas les révoquer.
D’un point de vue purement théorique, ils ne peuvent dès lors pas servir de base pour t’assurer que l’utilisateur est bien celui qu’il prétend être puisque tu ne peux garantir que l’information n’ait pas été extraite par une autre personne et qu’il ait trouvé un moyen de te balancer les informations (quand on parle d’empreinte par exemple; à un moment où un autre, tu peux tout aussi bien extraire le lecteur d’empreinte et envoyer les données qu’il faut par le bus qu’il utilise pour envoyer ses données au système).
Mais bon, ça va pas chambouler ma vie, qu’ils continuent de dire authentification biométrique si ça permet de vendre leur clé plus chère parce que ça sonne plus sécurisant.
#18.2
Parfaitement d’accord avec le problème de non révocation, mon commentaire était purement technique.
L’authentification c’est du 1:1, cette empreinte est-elle bien celle que je cherche ?
L’identification c’est du 1:N, cette empreinte est-elle dans la base et si oui, à qui appartient-elle ?
Il n’y a pas d’authentification « en plus », il y a 2 questions différentes.
D’ailleurs, tu as moins d’info avec l’authentification dans le cas où la réponse est négative, tu sais juste que ce n’est pas cette personne, tu ne sais pas si l’empreinte est dans la base globale.
En supposant que les gens soient capables de choisir un mot de passe vraiment unique (je mets de côté la question de révocation), c’est la différence entre un site qui demande le login et le mot de passe (authentification) et un site qui demande juste le mot de passe et se débrouille pour déterminer le login si le mot de passe est dans la base (identification).
#18.3
Je pense qu’on attribue le terme authentification à des niveaux différents.
Je sais très bien comment tu peux vouloir utiliser les empreintes pour tenter de faire une authentification. Comme tu peux très bien coder une authentification sur ton site où le simple fait de connaitre ton login suffirait. C’est deux cas de figures extrêmes de part et d’autre du spectre de l’usage d’un procédé d’identification au moyen d’authentification. L’un était beaucoup plus compliqué à compromettre que l’autre. Il n’empêche que cela reste une méthode ayant de grosses failles du point de vue de l’authentification: tu ne peux le changer, tu ne peux le cacher, c’est reproductible, il est tellement lié à l’identification que tu ne peux refuser de le donner à certaines autorités.
Pour ces failles, je considère que ça n’est pas une méthode d’authentification réelle, mais plus une méthode de sécurisation d’accès qui a surtout l’atout d’être convéniente à être utilisée et pas trop troué quand ça reste un échange local avec un device physique. Plus que ça, ça ne vaut rien, du coup en matière d’authentification, c’est un poil limité.
#18.4
Je me contentais de définir l’authentification et l’identification. À aucun moment je n’ai parlé de la pertinence ou non de l’outil.
#18.5
C’est justement l’ensemble que tu implémentes qui met en place l’authentification, pas les méthodes spécifiquement. Mais bon, n’éternisons pas le débat, on est d’accord sur le fond, juste qu’il y a désaccord sur le fait de dire que l’authentification en soi puisse être appelée biométrique à partir du moment où le moindre élément de son process inclue des méthodes biométriques.
Bon, c’est sûr, le terme authentification biométrique ça claque. C’est comme l’authentification par force physique que j’ai dans chaque tiroir de ma cuisine. Chaque tiroir authentifie si la personne qui essaye de l’ouvrir est l’un des deux parents ou bien le petit bambin, ça marche top, c’est basé sur un savant calcul de la puissance physique disponible dans les bras, il semblerait que ce soit unique par personne. Du coup, j’ai pas dû acheter de loquet ou autre mécanisme chiant à installer.
#19
Il n’y a donc aucune différence entre les deux. Si l’empreinte te permet d’identifier la personne (le login), et bien ton login va forcément correspondre à ton empreinte. Elle est où l’authentification apportée en plus de l’identification ?